Related Posts
Τα ζητήματα ασφαλείας και τα τρωτά σημεία του συστήματος είναι ο όλεθρος του σύγχρονου λογισμικού, επιτρέποντας σε κακόβουλους παράγοντες να προκαλέσουν όλεθρο. Ωστόσο, η Google διαθέτει ένα Πρόγραμμα επιβράβευσης ευπάθειας (VRP) που ενθαρρύνει τους ερευνητές ασφάλειας να εντοπίσουν προβλήματα και να διατηρήσουν προϊόντα όπως το Android ασφαλή για όλους. Ωστόσο, η εταιρεία ανακοίνωσε πρόσφατα αλλαγές στο VRP, όπως ένα νέο σύστημα ανάθεσης CVE, και αναθεώρησε τις πληρωμές για οντότητες που ανακαλύπτουν σοβαρά σφάλματα.
Όπως οι περισσότερες εταιρείες που διατηρούν το λογισμικό ασφαλές για τους χρήστες, η Google συσχετίζει τα αναγνωριστικά CVE με σφάλματα — μοναδικά αναγνωριστικά που αποκαλύπτονται δημόσια για προβλήματα, ώστε οι ερευνητές να μπορούν να συντονίσουν τις προσπάθειές τους για τη δημιουργία διορθώσεων. Ειδικός Android
Μισάαλ Ραχμάν
πρόσφατα τόνισε ένα νέο
Ανάρτηση ιστολογίου ασφάλειας Google
εξηγώντας ότι το Android δεν θα εκχωρεί πλέον CVE στα περισσότερα θέματα μέτριας σοβαρότητας, ενώ τα υψηλής σοβαρότητας και κρίσιμα τρωτά σημεία θα εξακολουθούν να λαμβάνουν CVE ID. Αυτό σημαίνει ότι η κάλυψη των ενημερώσεων ασφαλείας για τηλέφωνα Pixel θα έχει λιγότερα CVE και ζητήματα που αξίζει να αναφερθούν, εκτός εάν η Google εκχωρήσει αναγνωριστικά σε μέτρια ζητήματα κάθε τόσο.
Πώς αποφασίζει η Google τι είναι μέτριας σοβαρότητας, ρωτάτε; Ο καθορισμός σοβαρότητας στα ζητήματα που υποβλήθηκαν εξακολουθεί να είναι στη διακριτική ευχέρεια της Google, αλλά διέπεται από ένα αρκετά καλά σχεδιασμένο σύνολο κανόνων που αξιολογούν το εύρος της ευπάθειας.
Για να μην συγχέεται με την κλίμακα τριών βαθμών για τη σοβαρότητα των σφαλμάτων, η Google έχει μια νέα κλίμακα τριών βαθμών που ονομάζεται “σύστημα αξιολόγησης ποιότητας” ενσωματωμένη στο VRP. Ενθαρρύνει τους ερευνητές ασφάλειας να υποβάλλουν καλά ερευνημένες αναφορές σφαλμάτων, ώστε να μπορούν να αναδημιουργηθούν και να αντιμετωπιστούν αποτελεσματικά. Η Google έχει ορίσει ένα
λίστα προσδοκιών
Για στοιχεία, μια αναφορά σφάλματος θα πρέπει να περιέχει, συμπεριλαμβανομένης μιας λεπτομερούς περιγραφής, μιας ενδελεχούς ανάλυσης της βασικής αιτίας, μιας επίδειξης του ζητήματος, οδηγίες για την εκ νέου δημιουργία του και στοιχεία επικίνδυνων προνομίων που θα μπορούσαν να αποκτήσουν οι κακοί παράγοντες.
Ο τιτάνας αναζήτησης άλλαξε επίσης τη μέγιστη πληρωμή για την ανακάλυψη κρίσιμων ευπαθειών συσκευών Android και Google. Οι ερευνητές θα μπορούσαν να διεκδικήσουν έως και 15.000 δολάρια εάν βρουν ένα και κάνουν μια λεπτομερή υποβολή. Εν τω μεταξύ, πλήρεις αλυσίδες εκμετάλλευσης, όπως αυτές που χρησιμοποιούν οι κακοί ηθοποιοί στη φύση, δικαιούνται ανταμοιβές έως και 1.000.000 $. Οι υποβολές αναφορών μέτριας σοβαρότητας θα ανταμειφθούν με έως και 250 $ και δεν υπάρχει ανταμοιβή για τις αναφορές χαμηλής σοβαρότητας.
Η Google λέει ότι έχει θέσει σε ισχύ αυτές τις αλλαγές στο Android VRP από τις 15 Μαρτίου 2023. Τα αναθεωρημένα ποσοστά επιβράβευσης σφαλμάτων είναι καλύτερα τώρα, αλλά είναι σημαντικό η ζυγαριά να παραμείνει σε αυτήν την κατεύθυνση, επειδή τέτοιες ευπάθειες έχουν επίσης υψηλές τιμές σε αγορές που συχνάζουν χάκερ και κυβερνοεγκληματίες.
Οι απαιτήσεις της Google για μια καλή αναφορά σφαλμάτων δεν είναι υπερβολικές, αλλά με ανεπαρκείς πληροφορίες και χωρίς ανταμοιβή για μικρότερα ζητήματα, θα μπορούσε κανείς να υποστηρίξει ότι πολλά από τα μικρότερα ζητήματα θα παραμείνουν χωρίς επιδιόρθωση. Η έλλειψη CVE για ζητήματα χαμηλής προτεραιότητας σημαίνει επίσης ότι η Google θα είναι η μόνη εταιρεία που γνωρίζει αυτά τα ζητήματα και θα είναι σε θέση να τα διορθώσει. Είναι πιο εύκολο να παρακολουθείτε λιγότερα CVE, αλλά ανησυχούμε ότι μικρότερα ζητήματα χωρίς αναγνωριστικά μπορεί απλώς να ξεφύγουν.
